Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Inyección y ejecución de código arbitrario en ipDIO de IPCOMM

Fecha de publicación 04/03/2022
Importancia
4 - Alta
Recursos Afectados

IPCOMM ipDIO, versión de firmware 3.9 2016/04/18 / IPDIO SW 3.9.

Descripción

Aarón Flecha Menéndez, de S21Sec, ha reportado 4 vulnerabilidades, 2 de severidad alta y 2 medias, al CISA que podrían permitir a un atacante inyectar y ejecutar código arbitrario.

Solución

IPCOMM no ofrece soporte para ipDIO y se considera el fin de su ciclo de vida útil.

IPCOMM recomienda actualizar a ip4Cloud, que es el sucesor de ipDIO. Obtenga soporte técnico de la actualización desde el centro de soporte al cliente de IPCOMM.

Detalle
  • La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta cargar, copiar, descargar o eliminar una configuración existente (Administrative Services). Se ha asignado el identificador CVE-2022-24915 para esta vulnerabilidad de severidad alta.
  • La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta revisar el historial. Se ha asignado el identificador CVE-2022-22985 para esta vulnerabilidad de severidad alta.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-24432 y CVE-2022-21146.

Encuesta valoración